Environ un demi-million de systèmes de messagerie utilisant le très populaire MTA (Mail Transfer Agent) Exim, n’ont pas encore été patchés vis à vis d’une faille de sécurité potentiellement dangereuse, et rendue public plus tôt cette semaine.
Divulguée auprès des responsables du logiciel début février par Meh Chang, de l’entreprise de sécurité Devcore Security Consulting, la vulnérabilité Exim est un dépassement de la mémoire tampon d’un octet dans le décodage du logiciel en Base64.
Selon Chang:
Le décodage en Base64 est une fonction tellement fondamentale que ce bug peut être déclenché facilement, provoquant ainsi l’exécution de code à distance.
Les chercheurs impliqués dans la preuve de concept de cet exploit ont utilisé la partie amont du processus d’authentification SMTP daemon, avant que les emails ne soient envoyés ou reçus.
Généralement, ce bug est inoffensif car la mémoire écrasée est généralement inutilisée. Toutefois, cet octet écrase certaines données critiques lorsque la chaîne correspond à une longueur spécifique.
Les développeurs d’Exim ont alors fourni la réponse suivante :
Actuellement, nous ne connaissons pas précisément le niveau de gravité, nous “pensons” que la création d’un exploit est peu probable. Une mitigation n’est pas connue.
En réalité ils sous-entendent que pour se protéger contre cette faille il est préférable d’installer une mise à jour plutôt que d’opérer un changement de configuration. Cette faille est référencée sous le nom CVE-2018-6789, et la version mise à jour 4.90.1, est disponible depuis le 10 février.
Le seul bémol est que cette faille affecte toutes les versions d’Exim qui remontent à sa première apparition en 1995 en tant que projet du service informatique de l’Université de Cambridge, afin de construire une alternative sophistiquée à l’ancien Sendmail.
Serait-elle vraiment difficile à exploiter ? Certes, la preuve-de-concept implique une séquence complexe de manipulation de la mémoire, mais le Modus Operandi est maintenant dans le domaine public, et ce pour toujours !
Le compte à rebours est lancé pour les serveurs non patchés, et il est tout de même préférable de ne pas attendre pour savoir si un potentiel hacker réussira à trouver un moyen de transformer un bug activable à distance en RCE.
Devcore a avancé le nombre de systèmes vulnérables d’”au moins 400k serveurs”.
Une enquête récente estime le nombre de serveurs de messagerie publics sur internet à environ 1,9 million, dont la moitié a pu identifier le logiciel qu’ils utilisaient. Parmi ces derniers, 560 000 (soit 57%) utilisaient Exim, le plaçant ainsi nettement en tête devant Postfix, et Sendmail, qui est maintenant en déclin rapide. Certains de ces systèmes auront certainement déjà été patchés.
Shodan, le moteur de recherche pour les systèmes connectés à internet, estime le nombre de serveurs Exim à un petit million.
Exim est le genre de logiciel qu’il est facile d’oublier, même après une légère augmentation du nombre de failles signalées au cours de l’an dernier. Compte tenu de son immense popularité, l’installation de la mise à jour doit être considérée comme une priorité absolue !
Aucun exploit ciblant cette vulnérabilité n’a encore été signalé, mais le danger reste bien réel !
Billet inspiré de Patch now! Half a million Exim mail servers need an urgent update, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.